Chrome

Проведе се най-голямото и престижно хакерско състезание в Китай – Tianfu Cup.

Всички успешни експлойти са докладвани на съответните доставчици на софтуер, съгласно регламента на състезанието. Очакваме пачовете!

Many mature and hard targets have been pwned on this year’s contest. 11 out of 16 targets cracked with 23 successful demos:
Chrome, Safari, FireFox
Adobe PDF Reader
Docker-CE, VMware EXSi, Qemu, CentOS 8
iPhone 11 Pro+iOS 14, GalaxyS20
Windows 10 2004
TP-Link, ASUS Router
👍

— TianfuCup (@TianfuCup) November 8, 2020

Ако използвате Google Chrome, трябва незабавно да актуализирате браузъра до последната му версия – 86.0.4240.111. Така ще си спестите проблеми, засечени в по-старите му модификации, включително „срещата“ с zero-day уязвимост (CVE-2020-15999), активно експлоатирана за отвличане на набелязани компютри.

Друго подобрение в браузъра е връщането на настройката за получаване на съобщения с обидно съдържание от „разрешено“ на „по подразбиране“. Това означава, че ако потребителят не направи изрична промяна, спамът, идващ от оскърбителни сайтове, ще бъде автоматично скриван в браузъра.

Критична уязвимост в браузъра Chrome е запушена от Google в най-новата версия на приложението.

CVE-2020-6492 засяга Javascript API, което позволява на потребителите да генерират 2D и 3D изображения в браузъра. Казусът е WebGL компонента, която не управлява добре обектите в паметта, благодарение на което атакуващият може да изпълнява отдалечено кодове на засегнатата машина. Оценката на уязвимостта е 8.3 от 10, което я превръща в критична.

Ако не ползвате версия 85.0.4149.0 на Chrome, ъпдейтнете сега (под Windows може да се наложи браузърът да бъде рестартиран, за да приложите ъпдейта).

[button color=“green“ size=“big“ link=“https://threatpost.com/google-fixes-high-severity-chrome-browser-code-execution-bug/158600/“ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]

 

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Последен ъпдейт на 8 април 2020 в 10:11 ч.

Google обмисля да върне възможността за показване на www и https в браузъра си Chrome. Най-вероятно това ще бъде допълнителна настройка на браузъра (вижте как ще изглежда тук). Тя е налична в Chrome 83 Canary.

Причината за връщането на информацията е сигурността на потребителите – които по-лесно ще могат да различават потенциално опасни сайтове.

[button color=“green“ size=“big“ link=“https://nakedsecurity.sophos.com/2020/03/30/chrome-may-bring-back-www-with-option-to-show-full-urls/“ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]

 

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Последен ъпдейт на 8 април 2020 в 10:11 ч.

Google все пак ще публикува нови версии на браузъра си Chrome и операционната система със същото име.

След като обяви, че планира да пропусне версии 81 и 82 и ще премине директно към версия 83 на браузъра, седмица по-късно лидерът в онлайн търсенето промени плановете си. Новата дата за публикуване на stable release на Chrome 81 е втората седмица на април (до 7 април).

Първоначалните планове на Google бяха Chrome 81 да бъде готов до средата на март 2020 г.

Версия 82 все пак ще бъде пропусната, а в средата на май (3 седмици по-рано от планираното) се очаква версия 83 на браузъра (негова Dev версия – 83.0.4093.3 – вече е налична).

„Продължаваме да следим за стабилността и сигурността на Chrome и Chrome OS,“ пише в официалния блог на Chrome.

[button color=“green“ size=“big“ link=“https://chromereleases.googleblog.com/2020/03/chrome-and-chrome-os-release-updates.html“ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]

 

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Ъпгрейднете вашия Google Chrome или всеки друг Chromium-базиран браузър веднага. Съветът идва от директора по сигурността на Google Джъстин Шух, след като от компанията потвърдиха съществуването на една от най-сериозните експлоатирани уязвимости в браузъра, носеща името CVE-2019-5786.

Какъв е проблема

Накратко, уязвимостта позволява придобиването на администраторски права върху атакуваната машина след като атакуващите са модифицирали данни в паметта на устройството. Иначе казано – използването на уязвимостта може да доведе до превземането на компютъра и злоупотребата с него, източване на информация и т.н.

Уязвимостта засяга FileReader, приложно-програмен интерфейс (API), включен в браузъра, който  позволява на уеб приложения да четата съдържанието на файлове, съхранявани на харддиска на потребителя. Тя е разкрита в края на февруари.

Кои са засегнатите браузъри

Освен Google Chrome, засегнати са и всички други браузъри, базирани на Chromium, сред които са:

• Opera
• Vivaldi
• Brave
• Blisk
• Colibri
• Epic Browser
• Iron Browser
• и др.

Какво да направите оттук нататък?

Най-просто казано: ъпгрейднете своя Chrome до версия 72.0.3626.121 още сега, докато четете този материал.

Ако не сте включили автоматичните ъпдейти, следвате стъпките по-долу или тук:

• Отворете Chrome на компютъра си.
• Горе вдясно кликнете върху „Още“ Още.
• Кликнете върху Актуализиране на Google Chrome. Ако не виждате този бутон, това означава, че вече разполагате с най-новата версия.
• Кликнете върху Стартиране отново.

Забавянето се дължи на API (Application Programming Interface), чиято поддръжка е изоставена от всички браузъри, освен Chrome. Въпреки това, компанията използва неподдържания софтуерен елемент за последния дизайн на YouTube.

YouTube page load is 5x slower in Firefox and Edge than in Chrome because YouTube’s Polymer redesign relies on the deprecated Shadow DOM v0 API only implemented in Chrome. You can restore YouTube’s faster pre-Polymer design with this Firefox extension: https://t.co/F5uEn3iMLR

— Chris Peterson (@cpeterso) July 24, 2018

Новият дизайн на уебсайта използва библиотеката Polymer, версия 1, която поддържа единствено Shadow DOM v0. Новите версии на библиотеката – 2 и 3 – биха разрешили проблема, тъй като поддържат Shadow DOM v1 – API, с което могат да работят и двата конкурента на Chrome.

През месец Май, YouTube сподели, че през сайта преминават близо 2 милиарда потребители всеки месец. С над 400 часа нови видеа всяка минута, би било неетично от страна на Google да дава функционално предимство на Chrome чрез внедряването на неподдържани технологии.

Това, което Питърсън предлага като решение на проблема е преминаването към предишния дизайн YouTube. Докато самия сайт не предлага такава функционалност, тя може да бъде постигната чрез външни добавки за Firefox и Edge.

Към момента липсва коментар от страна на интернет гиганта, както и от създателите на всички засегнати браузъри.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.